SUEXEC Problem

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Gast

SUEXEC Problem

Beitrag von Gast » 02.02.2003 03:52:10

Zuletzt geändert von Gast am 19.03.2005 00:45:10, insgesamt 1-mal geändert.
Nach oben
Gast

Beitrag von Gast » 02.02.2003 15:20:34

Zuletzt geändert von Gast am 19.03.2005 00:44:58, insgesamt 1-mal geändert.
Nach oben
floschi
Beiträge: 791
Registriert: 17.09.2002 14:36:18
Wohnort: München
Kontaktdaten:

Beitrag von floschi » 03.02.2003 20:19:19

Hi !

Bist du dir sicher, dass du den Apache mittels apt-get install apache installiert hast?

Die Daten aus deiner suexec oben deuten eher auf SuSE hin...

Hier mal mein Beispiel, beinhaltet auch gleich den Pfad zu suexec:

Code: Alles auswählen

p15112127:~# /usr/lib/apache/suexec -V
 -D DOC_ROOT="/var/www"
 -D GID_MID=100
 -D HTTPD_USER="www-data"
 -D LOG_EXEC="/var/log/apache/suexec.log"
 -D SAFE_PATH="/usr/local/bin:/usr/bin:/bin"
 -D UID_MID=100
 -D USERDIR_SUFFIX="public_html"
Was genau hast du mit deinem Apache angestellt vorher, dass es zu diesen Meldungen kam? Hab' ich nämlich noch nie gelesen... :(


Grüßle

Olfi ;)
Nach oben
Gast

Beitrag von Gast » 04.02.2003 14:21:04

Zuletzt geändert von Gast am 19.03.2005 00:44:46, insgesamt 1-mal geändert.
Nach oben
floschi
Beiträge: 791
Registriert: 17.09.2002 14:36:18
Wohnort: München
Kontaktdaten:

Beitrag von floschi » 04.02.2003 17:09:22

howgo hat geschrieben:PS: Ist es richtig, das User mit CGI Berechtigung um einiges mehr unsinn machen können, als mit php - also Schadem am System anrichten. Wenn ja, kann man das irgendwie absichern ?
Ja und nein ;)

PHP kann auch viel Schaden anrichten, wenn es alle Befehle nutzen darf, die es kann. Normalerweise gibt's da aber mit safe_mode und open_basedir schon sehr viele Möglichkeiten, das einzugrenzen.

Skripte, die über die CGI-Schnittstelle aufgerufen werden (das können alle möglichen Skripte sein, Perl, Python, C, Shell usw., haben natürlich die Berechtigungen auf dem System, die der aufrufende User hat.

Beim normalen Apache ohne suexec hat der aufrufende User www-data natürlich Leserechte auf alle Webverzeichnisse aller User, ggf. auch Schreibrechte. Mit suexec bekommen die VHosts nicht den Standarduser, sondern andere User, die die Skripte aufrufen. Somit lässt sich dadurch (und mit den richtig gesetzten Verzeichnisrechten) vieles einschränken.

Deshalb wird oft bei Mehrbenutzerservern der PHP-Interpreter nicht als Apachemodul (= Apacheuser, geht nicht anders außer mit suphp), sondern als externes Skript über die CGI-Schnittstelle aufgerufen, damit auch dort diese Userbeschränkungen gelten und nicht in Verzeichnissen andere geschnüffelt werden kann...

Grüßle

Olfi ;)
Nach oben
Antworten

Zurück zu „Web- und Mailserver“